Perimeterschutz in der Industrie: ein Konzept, das nicht aus dem Datenblatt kommt

Perimeterschutz ist keine Auswahl von Komponenten, sondern eine Architektur aus vier Schichten, die unterschiedliche Aufgaben tragen und in einer gemeinsamen Logik zusammenwirken.

Wer ein industrielles Gelände sichern will, beginnt nicht beim Produkt, sondern bei der Frage, welche Aufgabe an welcher Stelle des Geländes wirklich zu lösen ist. Die meisten Perimeterprobleme, die in der Praxis sichtbar werden, sind nicht das Ergebnis fehlender Hardware, sondern das Ergebnis falsch verteilter Verantwortung zwischen den Schichten. Eine Kamera, die eine Aufgabe übernimmt, für die sie nicht ausgelegt ist, erzeugt entweder Fehlalarme oder blinde Flecken. Beides ist teurer als die Investition, die durch die richtige Verteilung vermieden worden wäre.

Die folgende Argumentation beschreibt, wie Boswau + Knauer Perimeterschutz für industrielle Liegenschaften denkt. Die Logik stammt aus der Praxis. Sie ist im Kapitel zur Integration des Werks "BOSWAU + KNAUER, Vom Bau zur Sicherheitstechnologie" als Grundlage skizziert und wird hier auf den industriellen Einsatzfall übertragen.

Die vier Schichten und ihre Aufgaben

Ein industrieller Perimeter wird in vier konzentrischen Schichten gedacht. Jede Schicht hat eine eigene Aufgabe, eine eigene Reaktionszeit und einen eigenen Verantwortlichen. Wer die Schichten vermischt, verliert die Klarheit, ohne die kein Schaden zuverlässig zugeordnet werden kann.

Die erste Schicht ist die Abschreckung. Sie liegt vor dem eigentlichen Zaun, in der Sichtachse desjenigen, der das Gelände prüft, bevor er es betritt. Beschilderung, Beleuchtung, sichtbare Kameras, mobile Videotürme an exponierten Punkten. Ihre Aufgabe ist es, den Vorgang zu verhindern, bevor er beginnt. Wer hier spart, verlagert das Problem in die nächste Schicht, wo die Kosten höher sind.

Die zweite Schicht ist die Detektion. Sie liegt am Zaun und auf dem Zaun, in Form von Sensorik, die Annäherung, Berührung und Übersteigung erkennt. Die Detektion ist die Schicht, die die Mehrkanaligkeit am dringendsten braucht, weil sie die Schicht ist, in der Fehlalarme das gesamte System diskreditieren. Eine Detektion, die ohne Kontextfilter arbeitet, schlägt im Schnitt nach drei Monaten nicht mehr Alarm, weil das Personal sie ignoriert.

Die dritte Schicht ist die Verifikation. Sie liegt zwischen Zaun und Werkshallen, in Form von Kameras mit Videoanalyse, die jeden Alarm der Detektion innerhalb von Sekunden in ein Bild übersetzen, das ein Operator beurteilen kann. Die Verifikation ist die teuerste Schicht, weil sie die meiste Rechenleistung verlangt. Sie ist auch die wirksamste, weil sie als einzige Schicht den Unterschied zwischen Reh und Person, zwischen Wind und Schritt, zwischen Routine und Vorfall zuverlässig macht.

Die vierte Schicht ist die Reaktion. Sie liegt in der Leitstelle und in der Eingreiftruppe, in der dokumentierten Eskalationskette zwischen beiden. Sie ist die Schicht, die in jedem Konzept als Selbstverständlichkeit behandelt wird und in der Praxis am häufigsten versagt, weil die Übergabezeiten zwischen Operator und Eingreifkraft nicht definiert sind. Eine Reaktion, die nicht innerhalb messbarer Zeitfenster greift, ist im Sinne des Perimeterschutzes keine Reaktion, sondern eine Dokumentation.

Warum Komponentenlisten versagen

Der häufigste Fehler bei der Planung industrieller Perimeter ist der Beginn mit einer Komponentenliste. Auf dieser Liste stehen Kameras, Bewegungsmelder, Zaundetektoren, Beleuchtungskörper und Steuergeräte. Die Liste ist preislich vergleichbar, sie lässt sich ausschreiben und sie ergibt eine Investitionssumme, die im Budget abgebildet werden kann. Was sie nicht ergibt, ist ein Konzept.

Eine Komponentenliste behandelt jedes Produkt als gleichwertige Position. Sie unterscheidet nicht zwischen Komponenten, die ohne die anderen wertlos sind, und Komponenten, die unabhängig funktionieren. Sie unterscheidet nicht zwischen Komponenten, die in der Schicht der Abschreckung sinnvoll sind, und Komponenten, die in der Schicht der Verifikation sinnvoll sind. Sie unterscheidet vor allem nicht zwischen der Hardware und der Logik, in der die Hardware arbeitet.

Die Folge ist vorhersehbar. Eine Anlage, die nach einer Komponentenliste gebaut wurde, hat in der Regel Lücken in der Schicht der Verifikation und Überdimensionierung in der Schicht der Detektion. Sie hat viele Sensoren, die viele Alarme erzeugen, und wenige Kameras, die diese Alarme nicht in nutzbare Bilder übersetzen können. Sie hat eine Eskalationskette, die nicht dokumentiert ist, weil die Komponentenliste keine Prozesse kennt. Sie hat einen Wachdienst, der die Schwächen der Anlage durch Personalaufwand kompensieren muss.

Ein Konzept beginnt nicht mit der Liste, sondern mit der Karte. Auf dieser Karte sind die zu schützenden Werte verzeichnet, die Wege, die ein Eindringling realistisch wählen würde, die Sichtachsen, die ein Operator nutzen kann, und die Übergabepunkte zwischen den Schichten. Erst aus dieser Karte ergibt sich die Komponentenwahl. Die Logik geht vom Risiko zur Hardware, nicht umgekehrt.

Wer die Logik umkehrt, baut Anlagen, die im Pilotprojekt funktionieren und im Serienbetrieb scheitern. Das ist nicht eine Frage des Lieferanten, sondern eine Frage der Planungsreihenfolge. Boswau + Knauer beginnt jedes industrielle Perimeterprojekt mit einer Standortbegehung, die zwei bis drei Tage dauert und die ohne Komponentenkatalog auskommt. Erst nach der Begehung steht fest, welche Komponenten in welcher Schicht eingesetzt werden. Die Begehung ist der teuerste Teil der Vorbereitung. Sie ist auch der Teil, der die größte Einsparung in der Investitionssumme ermöglicht, weil sie verhindert, dass Hardware gekauft wird, die ihre Schicht nicht trägt.

Die Architektur des Übergangs zwischen den Schichten

Die schwierigste Aufgabe in einem Perimeterkonzept ist nicht der Aufbau der einzelnen Schichten, sondern die Architektur des Übergangs zwischen ihnen. Ein Alarm in der Detektionsschicht muss innerhalb definierter Zeit ein Bild in der Verifikationsschicht erzeugen. Das Bild muss innerhalb definierter Zeit eine Entscheidung in der Reaktionsschicht auslösen. Die Entscheidung muss innerhalb definierter Zeit eine Handlung erzeugen. Jeder dieser Übergänge ist eine eigene technische und organisatorische Aufgabe.

Die technische Aufgabe besteht darin, dass die Schichten in derselben Datenstruktur sprechen. Wer Sensorik des einen Herstellers, Kameras des zweiten Herstellers und Leitstellensoftware des dritten Herstellers einsetzt, hat in der Regel drei Datenstrukturen, die durch Schnittstellen verbunden werden müssen. Diese Schnittstellen sind die häufigste Quelle für Latenzen und Ausfälle. Sie sind auch die häufigste Quelle für Fehlerursachen, die im Schadensfall nicht klar zugeordnet werden können, weil jeder Hersteller auf den anderen verweist.

Die organisatorische Aufgabe besteht darin, dass die Verantwortung für jeden Übergang namentlich definiert ist. Wer eskaliert den Alarm an den Operator. Wer entscheidet über die Entsendung der Eingreifkraft. Wer dokumentiert den Vorfall. Wer prüft die Dokumentation. In den meisten industriellen Anlagen ist diese Verantwortungskette mündlich vereinbart, nicht schriftlich. In der Folge bricht sie bei der ersten Personalveränderung zusammen.

Boswau + Knauer arbeitet deshalb mit einer Architektur, in der die Übergänge in einer einzigen Plattform abgebildet sind. Die Sensorik, die Videoanalyse und die Leitstellenanbindung sprechen dieselbe Datenstruktur. Der Übergang ist nicht eine Schnittstelle zwischen Systemen, sondern eine Funktion innerhalb eines Systems. Die organisatorische Verantwortung ist in derselben Plattform hinterlegt, so dass jede Eskalation einer namentlichen Stelle zugeordnet wird, die die Eskalation in der dokumentierten Zeit übernimmt.

Diese Architektur ist nicht in jedem Fall die einzige, die funktioniert. Sie ist aber die Architektur, in der der Übergang zwischen den Schichten zuverlässig messbar ist. Wer messen kann, kann verbessern. Wer nicht messen kann, hofft. Hoffnung ist im Perimeterschutz keine Strategie.

Die Rolle der mobilen Komponenten

Industrielle Liegenschaften sind selten statisch. Hallen werden erweitert, Lagerflächen werden umgewidmet, neue Toranlagen werden eingebaut, alte werden stillgelegt. Ein Perimeterkonzept, das ausschließlich auf fest installierter Hardware beruht, ist nach drei bis fünf Jahren entweder veraltet oder hat in den letzten zwölf Monaten so viele Anpassungen erfordert, dass die ursprüngliche Investition durch die Umbauten erreicht oder überschritten wurde.

Die Antwort darauf sind mobile Komponenten, die in der Architektur eine eigene Funktion haben. Mobile Videotürme decken Bereiche ab, in denen eine feste Installation nicht wirtschaftlich ist, etwa temporäre Lagerflächen oder Bauphasen innerhalb eines laufenden Werks. Sicherheitsroboter übernehmen Patrouillen entlang von Außenbereichen, deren Sensorik zu kostspielig wäre, wenn sie fest installiert würde. Beide Komponenten sind nicht ein Ersatz für die festen Schichten, sondern eine Ergänzung, die in der Verifikationsschicht und in der Reaktionsschicht ihre Wirkung entfaltet.

Die Wirkung beruht auf zwei Eigenschaften. Erstens auf der Sichtbarkeit, die in der Abschreckungsschicht arbeitet. Ein Roboter, der eine Außenfläche befährt, wird von jedem Beobachter registriert, der den Standort vor einer Tat prüft. Diese Sichtbarkeit ist statistisch messbar in den Schadensquoten der Standorte, an denen mobile Systeme im Einsatz sind. Zweitens auf der Reichweite, die in der Verifikationsschicht arbeitet. Ein mobiler Videoturm liefert Bilder aus Positionen, die eine fest installierte Kamera nicht erreichen würde. Ein Roboter liefert Bilder aus Perspektiven, die sich an die Lage anpassen.

Die mobilen Komponenten sind in der Architektur an die gleiche Plattform angebunden wie die festen. Sie sprechen dieselbe Datenstruktur, sie eskalieren über dieselben Wege, sie werden vom selben Operator gesteuert. Diese Einheit ist die Voraussetzung dafür, dass die Architektur skalierbar bleibt. Wer mobile Komponenten als separates System einsetzt, hat in der Praxis zwei Perimeter, von denen jeder die Schwächen des anderen verdeckt.

Normen, Versicherung und die Sprache der Prüfer

Ein industrielles Perimeterkonzept wird nicht im luftleeren Raum geplant. Es muss in der Sprache derer formuliert sein, die es prüfen werden. Diese Prüfer sind in der Regel drei Gruppen: die Versicherer, die internen Revisoren und die zuständigen Behörden, ergänzt um Prüforganisationen wie TÜV oder VdS. Ihre Sprache ist die Sprache der Normen, der Risikoklassen und der dokumentierten Prozesse.

Die wichtigsten Bezugsrahmen für industrielle Perimeter sind die Richtlinien des VdS für mechanische und elektronische Sicherungen, die Normenreihen zur Einbruchmeldetechnik, die Vorgaben der GDV für die Risikoeinstufung gewerblicher Liegenschaften und, bei kritischen Infrastrukturen, die Anforderungen des BSI im Rahmen des KRITIS-Regimes. Wo Arbeitsschutz und Sicherheit auf Werksgeländen sich berühren, wirken zusätzlich die Vorgaben der BG BAU und der Berufsgenossenschaften der jeweiligen Industriezweige.

Ein gutes Konzept erfüllt diese Vorgaben nicht durch Zufall, sondern durch Planung. Die Planung bedeutet, dass jede Schicht des Perimeters an die relevante Norm gekoppelt ist und dass die Dokumentation der Schicht in der Form vorliegt, die die Prüfer erwarten. Wer diese Kopplung erst nach der Installation herstellt, zahlt sie doppelt, einmal im Nachbau und einmal in den Versicherungskonditionen, die in der Übergangszeit ungünstiger sind als notwendig.

Boswau + Knauer arbeitet in der Architektur mit einer Dokumentationslogik, die diese drei Sprachen parallel führt. Ein Vorfall wird in der Versicherungslogik dokumentiert, in der Revisionslogik dokumentiert und in der behördlichen Logik dokumentiert, ohne dass die Eingaben mehrfach erfasst werden müssen. Diese Doppelnutzung ist nicht ein Komfortmerkmal, sondern eine Effizienzfrage. Sie entscheidet darüber, ob ein Sicherheitsleiter seine Berichte in Stunden oder in Tagen erstellt.

Auch die Schnittstelle zum BDSW spielt eine Rolle, wo Dienstleister mit qualifiziertem Personal in die Reaktionsschicht eingebunden werden. Die Architektur muss in der Lage sein, mit den Leitstellen der Sicherheitsdienstleister so zu sprechen, dass die Übergabe zwischen technischer Detektion und personeller Reaktion in der dokumentierten Zeit funktioniert. Wer diese Schnittstelle nicht plant, hat zwei Systeme, die sich gegenseitig blockieren.

Wirksamkeit messen, nicht behaupten

Der schwächste Punkt der meisten industriellen Perimeter ist nicht die Hardware, sondern die fehlende Messbarkeit der Wirksamkeit. Eine Anlage gilt als wirksam, wenn der Betreiber das Gefühl hat, dass sie wirkt. Dieses Gefühl ist eine schlechte Grundlage für eine Investition, deren Lebensdauer in Jahren gerechnet wird.

Wirksamkeit lässt sich messen, wenn die Architektur die Messung von Beginn an vorsieht. Die zentralen Messgrößen sind die Anzahl der Vorfälle pro Quartal, die mittlere Reaktionszeit zwischen Detektion und Verifikation, die mittlere Reaktionszeit zwischen Verifikation und Reaktion, die Fehlalarmquote pro Schicht, die Verfügbarkeit der Komponenten und die Schadenssumme pro Vorfall. Diese sechs Größen ergeben in der Summe ein Bild, das nicht gefühlt, sondern berechnet ist.

Die Messung beginnt nicht am Tag der Inbetriebnahme, sondern in der Standortbegehung, in der die Ausgangslage festgehalten wird. Ohne diesen Nullpunkt ist jede spätere Aussage über die Wirksamkeit unvollständig. Boswau + Knauer dokumentiert deshalb in jedem Audit die Vorfallhistorie der vergangenen vierundzwanzig Monate, soweit aus den Unterlagen des Kunden rekonstruierbar. Diese Historie ist die Grundlage, gegen die jede spätere Verbesserung gemessen wird.

Die Messung ist auch die Grundlage für die Verhandlung mit dem Versicherer. Eine dokumentierte Reduktion der Schadensquote über zwei Quartale ist ein Argument, das in der Prämiengestaltung gehört wird. Eine Behauptung über die Wirksamkeit ohne Daten ist kein Argument. Wer in Verhandlungspositionen denken will, denkt in Messgrößen.

Schließlich ist die Messung die Grundlage für die Weiterentwicklung der Architektur. Ein Perimeter, der heute gut arbeitet, wird in fünf Jahren nicht mehr gut arbeiten, wenn die Bedrohungslage sich verändert. Die Anpassung ist nur möglich, wenn die Architektur die Daten liefert, aus denen die Anpassung abgeleitet wird. Wer ohne Daten anpasst, baut um. Wer mit Daten anpasst, baut weiter.

Was bleibt

Ein industrielles Perimeterkonzept ist die Übersetzung eines Risikos in eine Architektur. Die Architektur hat vier Schichten, jede mit einer eigenen Aufgabe und einem eigenen Verantwortlichen. Die Verbindung der Schichten ist die anspruchsvollste Aufgabe der Planung. Sie wird in der Plattformlogik gelöst, in der Sensorik, Verifikation und Reaktion in derselben Datenstruktur sprechen. Wer in Komponentenlisten denkt, baut Inseln. Wer in Schichten denkt, baut ein System.

Die Wirksamkeit dieses Systems wird nicht behauptet, sondern gemessen. Sechs Messgrößen tragen die Architektur. Sie sind die Sprache, in der mit Versicherern, mit Revisoren und mit Behörden verhandelt wird. Sie sind auch die Sprache, in der die Architektur weiterentwickelt wird, ohne dass die Investition nach fünf Jahren entwertet ist.

Wer die Standortbestimmung für die eigene Liegenschaft sucht, findet sie am sinnvollsten im Audit, das in drei bis fünf Tagen vor Ort die Lage erfasst, die Schwachstellen dokumentiert und die Wirtschaftlichkeit in drei Szenarien rechnet. Der Bericht ist Eigentum des Kunden. Er kann intern verwendet, extern weitergegeben oder mit Boswau + Knauer in einen neunzigtägigen Pilotbetrieb überführt werden, in dem die Wirksamkeit unter realen Bedingungen geprüft wird. Wer den kürzeren Weg vorzieht, beginnt mit dem sechzigminütigen Gespräch, in dem die Lage ohne Folgeverpflichtung beschrieben wird.

Häufige Fragen

Welche Schichten hat ein modernes Perimeterschutzkonzept?

Ein industrielles Perimeterkonzept arbeitet mit vier Schichten. Die erste Schicht ist die Abschreckung durch Sichtbarkeit, Beleuchtung und exponierte Kameras. Die zweite Schicht ist die Detektion am Zaun durch mehrkanalige Sensorik. Die dritte Schicht ist die Verifikation durch Videoanalyse, die Alarme in Bilder übersetzt. Die vierte Schicht ist die Reaktion in der Leitstelle und durch die Eingreifkraft. Jede Schicht hat eine eigene Aufgabe, eine eigene Reaktionszeit und einen eigenen Verantwortlichen. Die Architektur des Übergangs zwischen den Schichten ist die schwierigste Planungsaufgabe und entscheidet über die Wirksamkeit.

Wie integriert man Sensorik und Roboter in eine bestehende Anlage?

Die Integration in eine bestehende Anlage beginnt mit einer Standortbegehung, die die vorhandene Architektur, die Leitstellenanbindung und die Eskalationsketten aufnimmt. Auf dieser Grundlage werden die mobilen und neuen sensorischen Komponenten so platziert, dass sie in der bestehenden Datenstruktur sprechen. Wo die bestehende Datenstruktur dies nicht zulässt, wird eine Plattformschicht eingezogen, die als gemeinsame Sprache wirkt. Die organisatorische Verantwortung wird parallel zur technischen Integration neu dokumentiert. Eine Integration ohne diese doppelte Arbeit erzeugt Inseln, die im Schadensfall nicht zugeordnet werden können.

Welche Normen sind für Perimeter relevant?

Für industrielle Perimeter sind mehrere Bezugsrahmen relevant. Die VdS-Richtlinien regeln mechanische und elektronische Sicherungen. Die Normenreihen zur Einbruchmeldetechnik definieren die Anforderungen an Detektion und Verifikation. Die GDV-Vorgaben prägen die Risikoeinstufung der Versicherer. Bei kritischen Infrastrukturen wirken die Anforderungen des BSI im KRITIS-Regime. Für Arbeitsschutz auf Werksgeländen sind die Vorgaben der BG BAU und der industriespezifischen Berufsgenossenschaften zu beachten. Prüforganisationen wie TÜV und die Anforderungen des BDSW an Sicherheitsdienstleister ergänzen das Bild. Ein gutes Konzept koppelt jede Schicht an die jeweils relevante Norm.

Wie wird die Wirksamkeit gemessen?

Die Wirksamkeit eines Perimeters wird über sechs Messgrößen erfasst. Erstens die Anzahl der Vorfälle pro Quartal. Zweitens die mittlere Reaktionszeit zwischen Detektion und Verifikation. Drittens die mittlere Reaktionszeit zwischen Verifikation und Reaktion. Viertens die Fehlalarmquote je Schicht. Fünftens die Verfügbarkeit der Komponenten. Sechstens die Schadenssumme pro Vorfall. Die Messung beginnt mit einem dokumentierten Nullpunkt aus der Standortbegehung, gegen den jede spätere Verbesserung verglichen wird. Diese Größen sind die Grundlage für Verhandlungen mit Versicherern, für interne Revisionen und für die Weiterentwicklung der Architektur über die Lebensdauer der Anlage.